《第三级安全保护环境建设方案模板.docx》由会员分享,可在线阅读,更多相关《第三级安全保护环境建设方案模板.docx(43页珍藏版)》请在三一办公上搜索。
1、第三级安全保护环境建设方案瑞达信息安全产业股份有限公司(2009)目 录1.前言41.1.项目名称41.2.单位名称41.3.建设背景41.4.条件与假设61.5.符合的标准规范62.需求分析72.1.信息系统部署结构现状分析72.2.物理安全分析72.3.网络安全分析92.4.主机安全分析102.5.应用安全分析122.6.数据安全分析143.总体建设方案153.1.总体建设目标153.2.总体建设原则153.3.安全改造后的信息部署结构163.4.安全保护体系建设163.4.1.建立“一个中心”管理下的“三重保障体系”163.4.2.建立安全保护环境173.4.3.建立系统安全互联184.
2、第三级安全保护体系建设方案184.1.安全计算环境建设184.1.1.部署三级操作系统204.1.2.部署系统安全审计系统214.1.3.部署客体重用系统214.1.4.部署文档加密系统224.2.安全通信网络建设234.2.1.部署网络安全审计系统244.2.2.建立IPSEC VPN264.2.3.部署网络通信安全监控系统264.2.4.部署网络通信管理系统274.3.安全区域边界建设274.3.1.部署防火墙284.3.2.部署可信接入网关304.3.3.部署入侵检测系统334.3.4.部署应用防护墙334.4.安全管理中心建设334.4.1.部署网络管理中心344.4.2.部署自主访问
3、控制系统管理中心354.4.3.部署安全审计管理中心385.系统安全互联415.1.1.安全互联部件设计技术要求415.1.2.建立跨定级系统安全管理中心416.第三级安全保护环境产品清单421. 前言1.1. 项目名称1.2. 单位名称1.3. 建设背景中华人民共和国计算机信息系统安全保护条例(国务院令第147号)明确规定我国“计算机信息系统实行安全等级保护”。依据国务院147号令要求而制订发布的强制性国家标准计算机信息系统安全保护等级划分准则(GB17859-1999)为计算机信息系统安全保护等级的划分奠定了技术基础。国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)
4、明确指出实行信息安全等级保护,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。关于信息安全等级保护工作的实施意见(公通字200466号)和信息安全等级保护管理办法(公通字200743号)确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划,明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台,为信息安全等级保护工作的开展提供了法律、政策、标准保障。2007年起公安部组织编制了信息安全技术 信息系统等级保护安全设计技术要求,为已定级信息
5、系统的设计、整改提供标准依据,至2008年11月已报批为国标。与此同时,2007年7月全国开展重要信息系统等级保护定级工作,标志着信息安全等级保护工作在我国全面展开。依据计算机信息系统安全保护等级划分准则,将信息系统安全保护能力划分为五个等级。分别为:第一级:用户自主保护级;由用户来决定如何对资源进行保护,以及采用何种方式进行保护。第二级:系统审计保护级;本级的安全保护机制支持用户具有更强的自主保护能力。特别是具有访问审记能力,即它能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问题
6、时,可以根据审记记录,分析追查事故责任人。第三级:安全标记保护级;具有第二级系统审计保护级的所有功能,并对访问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同安全标记,限制访问者的权限。第四级:结构化保护级;将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。其本身构造也是结构化的,以使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。第五级:访问验证保护级;具备第四级的所有功能,还具有仲裁访问者能否访问某些对象的能力。为此,本级的安全保护机制不能被攻击、被篡改的,具有极强的抗渗透能力。目前,全国范围内的定级工作已经基本完成
7、,2009年起将依据标准要求对已定级信息系统进行整改,以达到规范安全管理、提高信息安全保障能力到应有水平的目标。1.4. 条件与假设1) 已完成对已定级系统的风险评估工作2) 此次建设方案仅针对于第三级的以定级系统进行整改1.5. 符合的标准规范1) GB 17859-1999计算机信息系统安全防护等级划分准则2) 国务院令第147号 中华人民共和国计算机信息系统安全防护条例3) 中办发200327号 国家信息化领导小组关于加强信息安全保障工作的意见4) 公通字【2007】66号 关于印发关于信息安全等级保护工作的实施意见的通知5) 公通字【2007】43号 信息安全等级保护管理办法6) 信息
8、安全技术 信息系统等级保护安全设计技术要求2. 需求分析2.1. 信息系统部署结构现状分析2.2. 物理安全分析目前现有的物理安全机制不够完善,在物理安全的设计和施工中,需要考虑的安全要素包括:机房场地选择安全、机房内部安全防护、机房防火、机房供、配电、机房空调、降温、机房防水与防潮、机房防静电、机房接地与防雷击、机房电磁防护。l 需要优先考虑机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。l 需要在机房出入口应安排专人值守,控制、鉴别和记录进入的人员。l 需要将通信线缆铺设在隐蔽处,例如:铺设在地下或管道中。l 需要对介质分类标识,存储在介质库或档案室中。l 需要在主机房安装必要的
9、防盗报警设施。l 机房建筑需要设置避雷装置及设置交流电源地线。l 机房需要设置灭火设备和火灾自动报警系统。l 在水管安装时,需要考虑不得穿过机房屋顶和活动地板下。l 需要采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。l 需要采取措施防止机房内水蒸气结露和地下积水的转移与渗透。l 需要在关键设备上采用必要的接地防静电措施。l 考虑机房需要设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。l 需要提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。l 需要考虑电源线和通信线缆应隔离铺设,避免互相干扰。l 机房场地避免设在建筑物的高层或地下室,以及用水设备的下
10、层或隔壁。l 需要对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;l 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。l 需要利用光、电等技术设置机房防盗报警系统,对机房设置监控报警系统。l 需要设置防雷保安器,防止感应雷。l 考虑机房设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。l 考虑机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料,机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。l 需要安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。l 考虑机房采用防静电地板。l 考虑机房设置温、湿度自动调节设
11、施,使机房温、湿度的变化在设备运行所允许的范围之内。l 需要设置冗余或并行的电力电缆线路为计算机系统供电,应建立备用供电系统。l 需要采用接地方式防止外界电磁干扰和设备寄生耦合干扰,并对关键设备和磁介质实施电磁屏蔽。2.3. 网络安全分析目前现有的通信网络安全机制不够完善,需依据信息安全技术 信息系统安全等级保护基本要求第三级基本要求加强现有网络安全机制。l 需要对用户数据在网络传输中的数据提供保密性及完整性保护。l 需要对通信网络进行安全审计,其网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录,并对确认为违规的用户操作行为需要提供报警,并对审计信息进行存储备份。l 需要考虑网络
12、边界访问控制对会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级。l 需要对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。l 网络边界对入侵防范措施不够完善,考虑检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。l 考虑网络边界对恶意代码防范能力应提供及时检测和清除,维护病毒库的升级更新。2.4. 主机安全分析目前现有的主机安全机制不够完善,需依据信息安全技术 信息系统安全等级保护基本要求第三级基本要求加强现有主机安全机制。1) 用户身份鉴别l 需要对用户登录过程采用
13、两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。2) 标记和强制访问控制l 系统资源访问控制需要对重要信息资源设置敏感标记,需要依据安全策略严格控制用户对有敏感标记重要信息资源的操作。3) 系统安全审计l 系统安全审计需要覆盖到服务器上的每个操作系统用户和数据库用户,应保护审计进程,避免受到未预期的中断。l 审计记录包括安全事件的主体、客体、时间、类型和结果等内容;l 考虑对各审计记录,应提供审计记录查询、分类和存储保护。4) 用户数据完整性保护l 需要采用各种常规校验机制,对系统安全计算环境中存储和传输的用户数据的完整性进行检验,能发现完整性被破坏的情况。5) 用户数据保密性保护l 需要
14、采密码技术支持的保密性保护机制,为安全计算环境中存储和传输的用户数据进行保密性保护。6) 剩余信息保护l 剩余信息保护应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。7) 入侵防范l 需要能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。8) 可信执行程序保护l 需要构建从操作系统到上层应用的信任链,其中可采用可信计算技术,以实现系统运行过程中可执行程序的
15、完整性检验,防范恶意代码等攻击,并在检测到其完整性受到破坏时,应采取有效的恢复措施。2.5. 应用安全分析目前现有的应用安全机制不够完善,需依据信息安全技术 信息系统安全等级保护基本要求第三级基本要求的加强现有应用安全机制。l 需要对用户登录过程提供用户身份标识唯一和鉴别信息复杂度检查功能,考虑保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。考虑对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。l 自主访问控制,需要依据安全策略控制用户对文件、数据库表等客体的访问,访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。l 考虑应用系统安全审计应提供覆盖到每
16、个用户的安全审计功能,对应用系统重要安全事件进行审计。l 考虑对重要信息资源设置敏感标记的功能,并依据安全策略严格控制用户对有敏感标记重要信息资源的操作。l 考虑提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。l 剩余信息保护:应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。l 通信完整性:应采用密码技术保证通信过程中数据的完整性。l 通信保密性:应对通信过程中的整个报文或会话过程进行加密。l 抗抵赖:应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能;应具有在请求的情况下为数据原发者或接收者提供数据接收证
17、据的功能。l 软件容错:应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。l 资源控制:应能够对一个时间段内可能的并发会话连接数进行限制,应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额,应能够对系统服务水平降低到预先规定的最小值进行检测和报警,应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。2.6. 数据安全分析目前数据安全存在的安全隐患, 业务数据在传输过程中完整性受到破坏,数据存储没有经过加密处理,导致数据泄露。数据没有提供备份,导致重要数据丢失几种现象。因此需要在现有数据安全上增加以下几
18、种保护:l 数据完整性:应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。l 数据保密性:应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性;应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。l 备份和恢复:应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;应采用冗余技术
19、设计网络拓扑结构,避免关键节点存在单点故障;应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。3. 总体建设方案3.1. 总体建设目标遵循等级保护的相关标准和规范的要求,结合信息系统安全建设实际状态。针对信息系统中存在的安全隐患进行系统建设,加强信息系统的信息安全保护能力,使其达到相应等级的等级保护安全要求。3.2. 总体建设原则1) 遵循等级保护的相关标准和规范的要求;2) 按照本技术要求进行设计,保证系统结构完整,安全要素全面覆盖;3) 统一规划、分步实施。网络与信息安全体系建设是一个逐步完善的过程,各单位应依据本技术要求进行统一规划,在建设时可以根据信息化的发展逐
20、步建设与完善,首先保证重要信息系统的安全;4) 在保证关键技术实现的前提下,尽可能采用成熟产品,保证系统的可用性、工程实施的简便快捷3.3. 安全改造后的信息部署结构3.4. 安全保护体系建设3.4.1. 建立“一个中心”管理下的“三重保障体系”为已定级信息系统构建安全保护环境,是以较低成本实现其安全保护能力的合理方式,具有技术上成熟、产品选择面宽、无需对业务系统进行修改的优点。安全保护环境的核心在于构建“一个中心”管理下的“三重防御体系”。“一个中心”是指安全管理中心,包括系统/安全管理和审计管理。“三重防御体系”包括提供安全计算环境、提供安全区域边界和提供安全通信网络。安全计算环境可细分为
21、:节点子系统和典型应用子系统;安全管理中心分为系统/安全管理子系统和审计子系统。图第三级系统安全保护体系结构3.4.2. 建立安全保护环境落实GB 17859-1999的4.3相关要求,在第二级系统安全保护环境的基础上,构造非形式化的安全策略模型,对主、客体进行安全标记,并以此为基础,按照强制访问控制规则实现对所有主体及其客体的访问控制。此外,第三级系统安全保护环境还需相应增强系统的审计能力、数据保密性和完整性保护能力。3.4.3. 建立系统安全互联对相同或不同等级的定级系统之间的互联、互通、互操作进行安全保护,确保用户身份的真实性、操作的安全性以及抗抵赖性,并按安全策略对信息流向进行严格控制
22、,确保进出安全计算环境、安全区域边界以及安全通信网络的数据(含信息)安全。4. 第三级安全保护体系建设方案4.1. 安全计算环境建设进行第三级安全计算环境建设重点在于进行系统加固、实现自主访问控制、实现强制访问控制、实现系统安全审计、实现客体重用并且提供恶意代码防范的功能。1) 用户身份鉴别l 应支持用户标识和用户鉴别。在对每一个用户注册到系统时,采用用户名和用户标识符的方式进行用户标识,并确保在系统整个生存周期用户标识的唯一性;l 在每次用户登录系统时,采用强化管理的口令、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性
23、保护。2) 自主访问控制l 应在安全策略控制范围内,使用户对自己创建的客体具有各种访问操作权限,并能将这些权限的部分或全部授予其他用户。访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级和(或)记录、字段级。访问操作包括对客体的创建、读、写、修改和删除等。3) 标记和强制访问控制l 在对安全管理员进行严格的身份鉴别和权限控制基础上,由安全管理员通过特定操作界面对主、客体进行安全标记;l 应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制;强制访问控制主体的粒度应为用户级,客体的粒度应为文件或数据库表级;l 应确保系统安全计算环境内的所有主、客体具有一致的标记信息,并实施相同
24、的强制访问控制规则。4) 系统安全审计l 应记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。l 应提供审计记录查询、分类、分析和存储保护;能对特定安全事件进行报警;确保审计记录不被破坏或非授权访问。l 应为安全管理中心提供接口;对不能由系统独立处理的安全事件,提供由授权主体调用的接口。5) 用户数据完整性保护l 采用密码机制支持的完整性校验机制或其他具有相当安全强度的完整性校验机制,检验在系统安全计算环境中存储和传输的用户数据的完整性,并在其受到破坏时能够对重要数据进行恢复。6) 用户数据保密性保护l 采用密码技术支持的保密性保护机制或其他具有相当安全强度的保
25、密性保护机制,对在安全计算环境中存储和传输的用户数据进行保密性保护。7) 客体安全重用l 对于动态管理和使用的客体资源,应在该客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄漏。8) 程序可信执行保护l 可构建从操作系统到上层应用的信任链,其中可采用可信计算技术,以实现系统运行过程中可执行程序的完整性检验,防范恶意代码等攻击,并在检测到其完整性受到破坏时采取有效的恢复措施。参照上述第三级系统安全保护环境的安全计算环境的安全技术要素,实现安全计算环境安全功能。需安装如下软件系统:4.1.1. 部署三级操作系统进行操作系统加固不仅需要对服务器的操作系统进行加固,并且需要对用户操作终
26、端计算机进行系统加固。在本方案中,通过部署由我公司提供的安全操作系统实现强化管理的口令以及基于生物特征或数字证书的双因子身份认证,自主访问控制以及标记和强制访问控制、程序可信执行保护等安全保护要求.4.1.2. 部署系统安全审计系统安全计算环境的系统安全审计主要是对服务器、安全终端的系统安全事件进行审计。在本方案中通过在各服务器以及安全终端部署系统安全审计探头,对重要的安全相关事件,包括重要用户行为、系统资源的异常使用和重要系统命令的使用等记录的日期和时间、用户、事件类型、事件是否成功等进行记录,并可以将这些记录转换为标准格式,通过审计代理将审计记录提交给审计管理中心。并且可以依据审计控制策略
27、,对特定安全事件进行报警。4.1.3. 部署客体重用系统对使用的客体资源进行监控、管理,在该客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄漏。1) 内存重用l 挂载内存释放系统调用,截获系统响应系统调用的所有参数,包括所需虚拟内存的起始地址和大小,从而钩子可以通过这些信息来清零相应内存中的信息。l 钩子在清零内存时,要对原来的地址进行映射,并保证通过此映射能对相应的内存写入全零。2) 文件重用l 挂载文件删除系统调用,截获相应系统调用的所有参数,包括所需的文件的全路径、文件名、文件分配的空间大小,从而钩子可以通过这些信息来清零相应文件中的剩余信息。l 调用内核写文件的函数,向
28、相应文件写入全零,并向低层文件驱动发送请求包,将所有内存缓冲区中的数据(全零数据)同步的覆盖到上述文件中去后,再调用原删除文件的函数将文件删除。4.1.4. 部署文档加密系统通过确保电脑硬盘上的每一份涉密资料均为密文状态,从源头上解决一切通过其它方式泄密的可能。同时为企业中各用户搭建一个互相之间可以自由流通,无缝集成的数据交流平台。在这个前提下,不需要用户作任何额外的操作,就能实现对重要数据进行保护而且不对他们原本的日常操作习惯有任何影响。具体地可以细化为以下几条:l 特定的文件(并非所有的文件)在生成(或保存)之时,就应该被加密,且加密要由计算机自动地进行,不能依靠人工执行;l 文件的加密和
29、解密,不能依赖人工设定的密码或口令;l 被加密的文件在涉密计算机打开之时,就应该被解密,且解密要由计算机自动地进行,无需人工干预,文件的使用者也无需知道“加密文档安全管理系统码”;l 在未授权情况下,被加密的文件无法被非涉密计算机打开,就算电脑主机或硬盘被偷出公司,得到者也无法打开电脑主机或者硬盘上的资料;l 如果企业需要外发图纸,必须要有特定的审批流程,经过审批允许外发后,有专人解密,将密文状态的图纸转换成明文状态的图纸后带出,并有详细的日志方便日后追查;4.2. 安全通信网络建设在第三级系统安全保护环境中的安全网络建设主要在于实现网络安全审计,并依据客户实际应用的要求为用户的网络数据传输提
30、供完整性、保密性保护以及提供可信接入控制。1) 通信网络安全审计l 应在安全通信网络设置必要的审计机制,由安全管理中心集中管理,并对确认的违规行为及时报警。2) 网络数据传输完整性保护l 采用由密码技术支持的完整性校验机制或具有相当安全强度的其他安全机制,以实现网络数据传输完整性保护,并在发现完整性破坏时进行恢复。3) 网络数据传输保密性保护l 采用由密码技术支持的保密性保护机制或具有相当安全强度的其他安全机制,以实现网络数据传输保密性保护。4) 网络可信接入l 可采用由密码技术支持的可信网络连接机制,通过对连接到网络的设备进行可信检验,确保接入网络的设备真实可信,防止设备的非法接入。参照上述
31、第三级系统安全保护环境的安全通信网络的安全技术要素,实现安全通信网络安全功能。需安装如下软件系统:4.2.1. 部署网络安全审计系统在本方案中通过部署网络行为审计系统,对用户行为进行探测探测、收集、还原,并且可以对其他网络设备日志、其它审计产品日志进行获取,实现对安全通信网络中所有的网络安全事件的集中存储、管理、分析。在本方案中提供的网络安全审计系统,可以支持以下网络事件的采集:l 网络及安全设备:支持天融信、绿盟、东软、联想网御、Cisco、Checkpoint、Juniper、Fortinet、等国内外主流网络及安全设备厂商的各种网络设备及安全设备;l 主流数据库访问行为:支持对ORACL
32、E、MS-SQL、SYBASE、Informix、DB2等主流数据库网络访问协议的解析。 l 常见网络协议访问行为:支持对HTTP、FTP、SMTP、POP3、Telnet、MSN、BT等常见内网及互联网应用层访问协议的解析。 本方案中的网络行为审计系统的安全事件采集由基于网络监听的硬件探测器设备、基于网络协议采集的硬件探测器设备和软件形式的软件探针等三类探测器完成,对不同类型的事件类型采用不同的采集手段。1) 网络监听方式部署在网络中的硬件探测器设备通过监听及协议还原方式获取,采取旁路方式部署在网络中,通过交换机镜像对网络流量进行采集分析。主要完成以下网络操作行为的收集工作:l 对用户通过数
33、据库客户端对各种数据库系统的各种操作行为,包括登录、查询、修改、删除、数据定义和权限管理等;l 上网行为日志(Web访问、Email、BT、Msn等)、Telnet访问、FTP访问行为等。2) 协议访问方式部署在网络中的硬件探测器设备通过通用协议接收或获取各种日志,可分为两类:l 专用日志协议,以Syslog日志为代表的网络及系统日志协议是目前所有的网络设备、安全设备、Unix主机中比较通用的日志协议,其它类似协议还有SNMP Trap、OPSEC-LEA等,网络行为审计系统依据特定协议接受或主动询问获得相关系统日志。l 文件访问协议,系统管理员通过FTP、SMB、HTTP等协议将操作系统、应
34、用系统产生的文件型日志开放给网络行为审计系统探测器设备,由探测器设备主动下载日志文件、从而分析并采集日志。3) 软件探针方式对于主机上的各种非文件形式的日志、无法通过SNMP等协议获取的操作系统运行状态等信息,网络行为审计系统支持采用在对象主机上安装软件探针(Agent)方式进行日志采集。如通过在Windows主机上安装Agent完成收集Event Log、性能监控、网络连接状态、进程运行状态等信息的收集;通过在Unix主机上安装Agent完成对用户通过加密协议或Console进行的Shell操作的记录采集等。4.2.2. 建立IPSEC VPN网络数据传输完整性、保密性保护主要体现在与两个安
35、全计算环境之间的网络数据传输的完整性、保密性保护。在本方案中通过在两个安全计算环境间建立IPSEC VPN,通过IPSEC VPN提供的数据校验机制以及加密机制,为网络数据传输提供完整性、保密性保护。4.2.3. 部署网络通信安全监控系统通过在网络通信节点配置IDS探测器,监视从外部对网络通信的攻击;通过在信息系统安全管理中心设置IDS控制中心,集中管理和分析由IDS探测器汇集的数据信息;IDS的监测的重点是各种网络通信攻击,使系统安全管理员对网络通信运行的安全风险程度有一个基本的了解。并且可以通过在网络通信节点配置网络通信漏洞扫描系统,发现网络通信系统和主机存在的漏洞,并提供网络通信安全状况
36、信息,以便安全管理人员根据扫描器报告,通过系统参数调整和打补丁、软件升级提高网络通信安全性。4.2.4. 部署网络通信管理系统通过配置网络通信管理系统,对服务器和网络通信设备运行状况进行集中监控和管理;通过对网络通信和系统运行数据进行收集、分析、统计和处理,为网络通信管理人员实时监控服务器、网络通信传输节点、端口线路等各方面的运行状况提供支持,以便及时发现潜在的网络通信故障隐患,及时发现并定位线路故障,解决网络通信故障问题。4.3. 安全区域边界建设在第三级系统安全保护环境中的安全区域边界建设主要在于实现区域边界访问控制、区域边界协议过滤、区域边界安全审计、区域边界恶意代码防范、区域边界完整性
37、保护等安全功能。1) 区域边界访问控制l 应在安全区域边界设置自主和强制访问控制策略,对进出安全区域边界的数据信息进行控制,阻止非授权访问。2) 区域边界协议过滤l 应根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议、请求的服务等,确定是否允许该数据包进出该区域边界。3) 区域边界安全审计l 应在安全区域边界设置必要的审计机制,由安全管理中心集中管理,并对确认的违规行为及时报警。4) 区域边界完整性保护l 应在区域边界设置探测软件,探测非法外联和入侵行为,并及时报告安全管理中心。参照上述第二级系统安全保护环境的安全区域边界的安全技术要素,实现安全区域边界安全功能。需安装如
38、下软件系统:4.3.1. 部署防火墙在本方案中通过部署安智防火墙,实现:1) 状态检测和访问控制l 采用基于状态检测的包过滤技术,快速实现基于源/目的IP地址、源MAC地址、服务/端口、用户、时间、组(网络,服务,用户,时间)的精细粒度的访问控制。2) 内容过滤l http关键字、命令过滤 l 文件名过滤 l URL过滤 l 邮件关键字过滤l 邮件文件名过滤l 发件人邮箱过滤l 收件人邮箱过滤l http命令过滤(get、put、post)l Java scripts/Active-X 过滤封堵 l Java小程序控制 l Cookie过滤 l http、smtp、pop3、ftp、telne
39、t等协议的内容过滤 3) 透明应用代理l 提供丰富全面的应用代理,覆盖大多数用户常用应用程序,包括HTTP、SMTP、POP3、FTP、TELNET代理等。同时,多线程的代理提供较高性能的连接速度。提供多种内核级别代理机制,例如FTP、TFTP和ICMP代理可大大增强特殊网络应用安全性。4) 网络地址转换l 支持多种方式的网络地址转换,包括:静态地址映射、静态地址转换(1:1)、动态地址转换(N:1,N:N)、反向NATl DMZ区的特殊地址转换,即端口转换能力,加强DMZ区的安全保护、l 负载均衡5) 日志、审计和告警防火墙提供五种日志内容:连接日志、攻击日志、代理日志、认证日志和配置日志。
40、并且可以对任意的日志内容、任意级别指定不同的日志报警方式,系统提供的告警方式包括:l 声音报警l 邮件通知l windows消息l 用户终端l 系统缓冲区支持日志的本地存储、远端存储、备份等存储方式。4.3.2. 部署可信接入网关对接入网络的计算机终端实施强制平台身份认证,检查计算机终端安全状态,阻断非受控终端以及不符合安全策略的终端接入网络。并且提供终端接入审计,访问控制,系统日志等,主要功能如下:1) 安全传输设置l 安全传输表示两个网关之间的通信协议是经过安全处理的,它保障了网关之间数据传输的安全和可靠.2) 网关访问控制l 访问控制的设置制定了一个总体的访问策略,它标明了网关分别连接的
41、内网和外网所有终端的通讯状况,可以设置为: 内网外网 内网外网 内网外网 内网X外网3) IP端口控制l 当外网终端接入内网时,通过该设置可以对接入终端的端口和协议进行过滤,起到防火墙的作用,实现终端接入的受限和受控,从而保障内网的安全。4) 策略配置l 策略配置主要是对内外网终端访问加以控制,所实施的安全策略。主要策略包括: 接入:接入表示该终端已经安装了网关客户端,并接受了网关的平台审核,但是此时它还不能接出到外网,与外网终端不能访问。 接出:接出表示该内网终端可以接出到外网,并与外网终端互相访问。 单向接入:单向接入表示外网终端可以接入到内网,外网终端单向访问该内网终端,该内网终端不能访
42、问所有外网终端。 单向接出:单向接出表示该内网终端可以接出到外网,并且单向访问所有外网终端,所有外网终端不能访问该内网终端。 卸载:卸载表示是否允许卸载网关客户端,不允许用户则无法卸载 协议暂停:协议暂停是内网终端安装了客户端代理软件后,便不再使用普通的IP协议,而是使用了安全协议,它与普通协议是无法互通的。打开此权限表示该终端可以使用普通协议进行通信。 补丁安装:补丁安装是检查终端的WINDOWS系统补丁文件是否完整和最新,勾选后表示如果终端的WINDOWS系统补丁文件不完整或不是最新的,存在安全漏洞,网关会指引该终端到补丁服务器上进行升级更新。 开启杀毒软件信息:开启杀毒软件信息是检查终端
43、是否安装了杀毒软件,勾选后表示只有安装了杀毒软件的终端才能通过网关的安全审核,才能在内网访问相应的资源。 杀毒软件已过期:杀毒软件已过期是检查终端的杀毒软件病毒库是否是最新的,勾选后表示只有病毒库最新的终端才能通过网关的安全审核,才能在内网访问相应的资源。 开启windows防火墙:开启windows防火墙是检查终端的windows防火墙是否开启,勾选后表示只有windows防火墙开启的终端才能通过网关的安全审核,才能在内网访问相应的资源。4.3.3. 部署入侵检测系统在安全区域边界中,部署入侵检测系统,检测并记录attack-responses、backdoor、chat、ddos、dns、
44、dos、exploit、finger、ftp、icmp、misc、multimedia、netbios、oracle、p2p、policy、pop3、rpc、rservices、scan、shellcode、smtp、snmp、sql、telnet、tftp、virus、web-attacks、web-cgi、web-client、web-coldfusion、web-frontpage、web-iis、web-misc、web-php等攻击行为。 4.3.4. 部署应用防护墙根据数据发送方和接收方的安全属性值,按照确定的访问规则,提供明确的允许访问和拒绝访问受保护网络环境的方法和机制;通过安
45、全机制不可旁路、遗留信息清除、安全审计等增强安全性,并确定更高的安全机制配置管理要求。对经过区域边界的所有数据信息进行检查,对明确指定的特定信息,能阻止其进/出受保护的网络环境;通过安全管理中心对信息过滤进行统一管理。4.4. 安全管理中心建设安全管理中心安全功能基本结构图,如下图所示:建立安全管理中心目标在于,实现对在进行安全保护环境建设过程中所部属的各系统进行集中管理。在第二级安全管理中心主要需要部署自主访问控制管理中心,系统安全审计管理中心,病毒防护管理中心,网络资源管理中心。4.4.1. 部署网络管理中心安全管理中心通过网络管理系统工具对网络进行管理,收集网络监控记录;对网络安全配置;
46、对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。安全管理中心通过安全设备在网络边界处监视端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等攻击行为;当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。4.4.2. 部署自主访问控制系统管理中心1. 管理控制台管理员通过控制台对整个系统的安全策略进行配置与控制。从该控制台登陆并管理系统的有下面三类管理员:1) 系统管理系统管理子系统用于对节点子系统、区域边界子系统、通信网络子系统的软硬件进行管理和维护,发行用户硬件令牌,对系统异常行为做应急处理。系统管理子系统功能如下:l 身份管理:将与用户相关的身份信息、证书、密钥等安全属性发行到与用户绑定的硬件令牌中,以硬件令牌代表用户身份和权限;将平台的身份信息发送到管理中心进行注册,确保只有经过注册的平台才能接入维护系统。l 配置管理:采集节点、区域边界和通信网络子系统相关的软硬件信息到安全管理中心,